Crédit : Dreamstime
Alors que de plus en plus de charges de travail informatiques d’entreprise se déplacent vers le cloud, il en va de même les assaillants. Les serveurs virtuels ont en fait été ciblés par des groupes de cryptomining et de ransomware au cours des deux dernières années, et ils ne bénéficient normalement pas des mêmes niveaux de défense que les terminaux. Google a en fait décidé de changer cela avec la détection des risques basée sur les machines virtuelles pour sa plate-forme de cloud computing.
En matière de cloud computing, l’efficacité et la polyvalence sont vraiment importantes. Les serveurs sont mis à l’échelle en fonction des charges de travail qu’ils sont censés exécuter. Toute analyse et suivi de sécurité supplémentaires nécessitant l’exécution d’un agent logiciel à l’intérieur des machines virtuelles entraînerait une surcharge et consommerait des cycles de processeur et de la mémoire.
C’est le problème que Google tente de résoudre avec son tout nouveau Virtual Machine Hazard Fonctionnalité de détection (VMTD) utilisée dans le cadre du centre de commande de sécurité sur son moteur informatique.
» Pour Compute Engine , nous souhaitions voir si nous pouvions collecter des signaux pour aider à la détection des risques sans obliger nos clients à exécuter une application logicielle supplémentaire », a déclaré Timothy Peacock, superviseur produit chez Google Cloud, dans un article. » Ne pas exécuter un agent dans ses circonstances indique un impact moindre sur l’efficacité, une diminution des problèmes opérationnels pour la mise en œuvre et la gestion de l’agent, et expose moins de surface d’attaque à d’éventuels ennemis. «
Comment fonctionne VMTD ?
VMTD fonctionne au niveau de l’hyperviseur et a un accès direct à la mémoire des appareils virtuels instrumentés par cet hyperviseur. Cela donne à la technologie un autre avantage : elle ne peut pas être endommagée par des logiciels malveillants s’exécutant à l’intérieur de la machine virtuelle, même si le programme destructeur présente des avantages administratifs. De nombreux programmes malveillants ont intégré des schémas qui tentent de désactiver les scanners de sécurité reconnus exécutés sur le même système pour éviter la détection.
VMTD fonctionne comme un service géré qui exécutera des analyses régulières des tâches Compute Engine et de la mémoire vive. des instances de VM utilisant les règles de détection des dangers de Google.
Tout au long de la phase d’aperçu de la technologie, la détection vise principalement les programmes de cryptominage, qui sont l’un des risques de logiciels malveillants les plus courants déployés par les agresseurs sur des serveurs compromis. Selon le rapport de risque actuel du groupe d’action sur la cybersécurité de Google, des programmes d’extraction de crypto-monnaie ont été observés sur 86 % de toutes les instances cloud menacées.
VMTD évaluera les applications logicielles exécutées à l’intérieur des machines virtuelles à l’aide d’une liste de noms d’applications, par traiter l’utilisation du processeur, les hachages des pages de mémoire, les compteurs de performances matérielles du processeur et les détails sur le code de fabricant exécuté pour trouver des correspondances avec les signatures de cryptominage connues.
À l’avenir, à l’approche de la disponibilité de base, le service disposera de toutes nouvelles capacités de détection pour d’autres types de risques, tels que les ransomwares et les chevaux de Troie d’exfiltration d’informations, et sera intégré à d’autres parties de Google Cloud.
Pour l’instant, VMTD est proposé en tant que service opt-in pour les abonnés Security Command Center Premium. Les consommateurs peuvent définir une portée pour les analyses, mais l’innovation ne traite pas la mémoire des nœuds informatiques confidentiels, qui chiffrent la mémoire pour sécuriser les charges de travail sensibles.
» VMTD complète la menace existante capacités de détection rendues possibles par les services intégrés Event Hazard Detection et Container Risk Detection dans SCC Premium », a déclaré Peacock. » Ensemble, ces 3 couches de défense innovantes offrent une défense holistique pour les travaux exécutés dans Google Cloud. «
Occasion Risk Detection est un service qui garde un œil sur les journaux de zone Google Cloud et Google Work pour rechercher des indications d’activité malveillante. les menaces et la détection des risques des conteneurs permettent aux utilisateurs d’identifier les attaques d’exécution à l’intérieur des conteneurs plutôt que des périphériques virtuels, tels que le contenu des scripts shell exécutés, les indicateurs de shell inversés, les nouveaux fichiers binaires et les bibliothèques récemment compressées.
Toute l’actualité en temps réel, est sur L’Entrepreneur